应用了用于指定要加入的 Active Directory 域的主机配置文件之后,会导致合规性错误。

问题

应用了用于指定要加入的 Active Directory 域的主机配置文件,但未在防火墙配置中启用 activeDirectoryAll 规则集时,会出现合规性错误。vSphere Web Client 显示错误消息“与主机配置文件不合规: 规则集 activedirectoryAll 不符合规范 (Failures against the host profile: Ruleset activedirectoryAll does not match the specification)”。当应用主机配置文件以退出 Active Directory 域,但未在主机配置文件中禁用 activeDirectoryAll 规则集时,也会出现合规性错误。

原因

Active Directory 需要 activeDirectoryAll 防火墙规则集。必须在防火墙配置中启用该规则集。如果忽略此设置,系统会在主机加入域时添加必需的防火墙规则,但主机会由于防火墙规则不匹配而不合规。如果将主机从域中移除但未禁用 Active Directory 规则集,该主机也将不合规。

解决方案

  1. 浏览到 vSphere Web Client 中的主机配置文件。
    要查找主机配置文件,请在 vSphere Web Client 主页上单击 策略和配置文件 > 主机配置文件
  2. 右键单击主机配置文件,然后选择编辑设置
  3. 单击下一步
  4. 选择安全和服务 > 防火墙配置 > 防火墙配置 > 规则集配置
  5. 确保已选择activeDirectoryAll
  6. 在右侧面板中,选中指示是否应启用规则集的标记复选框。
    如果主机要退出域,则取消选中该复选框。
  7. 单击下一步,然后单击完成以完成主机配置文件的更改。